Có thể có chứng chỉ SSL cho địa chỉ IP, không phải tên miền?


281

Tôi muốn trang web của mình sử dụng các URL như http://192.0.2.2/...https://192.0.2.2/...cho nội dung tĩnh để tránh các cookie không cần thiết trong yêu cầu VÀ tránh yêu cầu DNS bổ sung.

Có cách nào để có được chứng chỉ SSL cho mục đích này không?


3
Câu hỏi này có thể được quan tâm: bạn có thể nhưng địa chỉ IP phải nằm trong mục nhập SAN của loại địa chỉ IP, không phải trong CN của Chủ thể DN.
Bruno

14
LetsEncrypt không làm như vậy. "" "" xxxx là một địa chỉ IP. Cơ quan cấp chứng chỉ Let Encrypt sẽ không cấp chứng chỉ cho một địa chỉ IP trống. "" "
kommradHomer

1
Diễn đàn trình duyệt C / A cung cấp một bộ chính sách ban hành. Rõ ràng, nó được theo sau bởi các trình duyệt. CA / B không còn cho phép địa chỉ IP. Một bộ chính sách phát hành khác được IETF duy trì. PKI của IETF được gọi là PKIX. PKIX cho phép địa chỉ IP. PKIX được theo sau bởi hầu hết các phần mềm [miễn phí?], Như cURL và Wget. Tôi hoàn toàn không thể tìm ra chứng chỉ cho 1.1.1.1 . Nó nên bị cấm theo chính sách CA / B. Có lẽ CA / B đã thay đổi chính sách của họ.
jww

Câu trả lời:


168

Theo câu trả lời này , nó có thể, nhưng hiếm khi được sử dụng.

Về cách lấy: Tôi có xu hướng chỉ cần thử và đặt hàng với nhà cung cấp mà bạn chọn và nhập địa chỉ IP thay vì tên miền trong quá trình đặt hàng.

Tuy nhiên, việc chạy một trang web trên một địa chỉ IP để tránh việc tra cứu DNS nghe có vẻ khủng khiếp như tối ưu hóa vi mô không cần thiết đối với tôi. Bạn sẽ tiết kiệm được một vài mili giây tốt nhất và đó là mỗi lần truy cập , vì kết quả DNS được lưu trữ trên nhiều cấp độ.

Tôi không nghĩ ý tưởng của bạn có ý nghĩa từ quan điểm tối ưu hóa.


9
AFAIK, 1 lần mỗi phút (bộ đệm DNS của Firefox) và 1 lần mỗi 30 phút cho IE. Điều này khác với TTL của các bản ghi DNS. Ngoài ra, tôi mất khoảng 20ms, tùy thuộc vào tên miền và tốc độ của máy chủ NS (cũng sẽ được giải quyết trước :)) Tôi cũng muốn tránh các cookie dài (cookie auth + Google Analytics của tôi) cho mỗi yêu cầu tĩnh. Vì vậy, sử dụng IP thay vì mua tên miền riêng là tốt. BTW, stackoverflow, basecamphq sử dụng tên miền riêng cho nội dung tĩnh. Sử dụng IP thay thế cũng sẽ loại bỏ (các) yêu cầu DNS không cần thiết.
Evgenyt

12
Tôi hoàn toàn thấy quan điểm của bạn với các cookie, bạn hoàn toàn đúng. Nhưng để chuyển sang IP SSL để lưu vài ms tra cứu DNS nghe có vẻ rắc rối với tôi hơn giá trị của nó. Ngoài ra, bạn có thể gặp sự cố khi mang theo IP nếu bạn phải thay đổi nhà cung cấp - điều đó có thể là không thể. Di chuyển một tên miền dễ dàng hơn nhiều và có thể dễ dàng di chuyển một chứng chỉ với nó một nửa dễ dàng.
Pekka

2
Công cụ Tốc độ Trang của Google luôn đề xuất "Phục vụ các tài nguyên JavaScript sau từ cùng một máy chủ với tài liệu chính (xxxx.com) hoặc trì hoãn tải các tài nguyên này nếu có thể". Tôi không đánh giá công cụ Tốc độ trang là kinh thánh, nhưng dù sao điều đó có nghĩa là tối ưu hóa DNS không được tôi phát minh ra. Tôi chỉ đang cố gắng làm cho danh sách kiểm tra Tốc độ trang của mình thành màu xanh nếu có thể.
Evgenyt

11
@Evgenyt: Tôi không nghĩ đó là do việc tra cứu DNS, như đã nêu được lưu trữ trên nhiều cấp độ nên không thể là vấn đề về hiệu suất. Nhiều khả năng đó là cho phép các trình duyệt thực hiện các yêu cầu của họ. Giữ kết nối đến máy chủ mở, do đó tránh thiết lập các kết nối bổ sung.
vdstw

5
Tôi đồng ý với câu trả lời. Ngoài ra, chúng tôi tìm thấy một vấn đề với cấu hình như vậy. Hóa ra, trình duyệt Chrome (39.0.2171.93) trên HĐH Android (4.4.5.0; hoạt động trên 4.0,4) không phát tệp âm thanh qua HTTPS nếu địa chỉ IP được sử dụng làm mục tiêu chứng chỉ. Chúng tôi đã từng sử dụng cấu hình như vậy cho môi trường thử nghiệm của mình, nhưng sẽ bắt đầu sử dụng tên miền.
Tham gia

58

Câu trả lời ngắn gọn là có, miễn là địa chỉ IP công cộng.

Việc cấp giấy chứng nhận cho các địa chỉ IP dành riêng là không được phép và tất cả các chứng chỉ được cấp trước đó cho các địa chỉ IP dành riêng đã bị thu hồi kể từ ngày 1 tháng 10 năm 2016.

Theo diễn đàn CA trình duyệt, có thể có vấn đề tương thích với giấy chứng nhận cho các địa chỉ IP trừ địa chỉ IP là ở cả commonNamesubjectAltNamecác lĩnh vực. Điều này là do các triển khai SSL kế thừa không phù hợp với RFC 5280, đáng chú ý là HĐH Windows trước Windows 10.


Nguồn:

  1. Hướng dẫn về địa chỉ IP trong chứng chỉ Diễn đàn trình duyệt CA
  2. Yêu cầu cơ bản 1.4.1 Diễn đàn trình duyệt CA
  3. Tên thường gọi (sắp có) unmitigatedrisk.com
  4. RFC 5280 IETF

Lưu ý: phiên bản trước của câu trả lời này cho biết rằng tất cả các chứng chỉ địa chỉ IP sẽ bị thu hồi vào ngày 1 tháng 10 năm 2016. Cảm ơn Navin đã chỉ ra lỗi.


5
Không đúng sự thật, globalalsign vẫn phát hành certs cho IP. Cơ quan cấp chứng chỉ / Diễn đàn trình duyệt không thích nhìn thấy IP riêng trong certs nhưng không có gì chống lại IP công cộng.
Navin

1
Có vẻ như thông tin của tôi có thể bị lỗi thời. Tôi sẽ xem xét nó nhiều hơn và sau đó chỉnh sửa nó nếu bạn đúng.
regdoug

Không đúng, hãy xem 1.1.1.1 Họ nhận được chứng chỉ SSL cho ip vào năm 2019 và có giá trị đến năm 2021 từ DigiCert
người đàn ông bằng đồng vào

@bronzeman đó là một địa chỉ IP công cộng, vì vậy, bạn có thể nhận được chứng chỉ cho nó. Các địa chỉ duy nhất không thể được cấp chứng chỉ là en.wikipedia.org/wiki/Reserved_IP_addresses
regdoug

@DustWolf, theo RFC 5280, "Khi tiện ích mở rộng objectAltName chứa iPAddress, địa chỉ PHẢI được lưu trữ trong chuỗi octet theo" thứ tự byte mạng ", như được chỉ định trong [RFC791]. ... Đối với phiên bản IP 4 ..., chuỗi octet PHẢI chứa chính xác bốn octet. " Nói tóm lại, bạn không thể sử dụng mạng con trong trường
objectAltName

31

Câu trả lời tôi đoán là có. Kiểm tra liên kết này chẳng hạn.

Cấp chứng chỉ SSL cho địa chỉ IP công cộng

Chứng chỉ SSL thường được cấp cho Tên miền đủ điều kiện (FQDN), chẳng hạn như " https://www.domain.com ". Tuy nhiên, một số tổ chức cần chứng chỉ SSL được cấp cho địa chỉ IP công cộng. Tùy chọn này cho phép bạn chỉ định một địa chỉ IP công cộng là Tên chung trong Yêu cầu ký chứng chỉ (CSR) của bạn. Chứng chỉ được cấp sau đó có thể được sử dụng để bảo mật các kết nối trực tiếp với địa chỉ IP công cộng (ví dụ: https://123.456.78.99 .).


5
Nó có hoạt động quá với IP riêng tĩnh không? Giống như cho một mạng LAN?
Ông Bonjour ngày

@Klaus Byskov Pedersen Bạn có thể vui lòng cung cấp cho tôi tài nguyên về cách thực hiện việc này không?
reyhane

2
@ShivSingh Nguồn nào? Tôi không nghĩ rằng bất kỳ CA nổi tiếng nào sẽ cấp chứng chỉ cho địa chỉ IP riêng.
Franklin Yu

22

Vâng. Cloudflare sử dụng nó cho trang chủ hướng dẫn DNS của mình: https://1.1.1.1


8
Đây không phải là những gì nó có vẻ. Nếu bạn kiểm tra chứng chỉ, Common Namelĩnh vực này cloudflare-dns.com1.1.1.1chỉ được liệt kê dưới đây Certificate Subject Alt Name.
bitinerant

3
@bitinerant Tên chung sẽ bị bỏ qua nếu có Tên thay đổi chủ đề . Trên thực tế, Tên chung không được dùng nữa và chỉ SAN thực sự có liên quan.
Yogu

3

Diễn đàn C / A Browser đặt những gì là và không hợp lệ trong chứng chỉ và những gì CA nên từ chối.

Theo Yêu cầu cơ bản của họ đối với việc cấp và quản lý tài liệu Chứng chỉ tin cậy công khai , CA phải, kể từ năm 2015, không được cấp chứng chỉ trong đó các trường tên chung hoặc tên thay thế chung chứa IP hoặc tên nội bộ dành riêng, trong đó địa chỉ IP dành riêng là IP IANA đã được liệt kê là dành riêng - bao gồm tất cả các IP NAT - và tên nội bộ là bất kỳ tên nào không giải quyết trên DNS công cộng.

Địa chỉ IP công cộng CÓ THỂ được sử dụng (và tài liệu yêu cầu cơ bản doc chỉ định loại kiểm tra nào CA phải thực hiện để đảm bảo người nộp đơn sở hữu IP).


0

Nó hoàn toàn phụ thuộc vào Cơ quan cấp chứng chỉ đã cấp chứng chỉ.

Theo như Let Encrypt CA, họ sẽ không cấp chứng chỉ TLS trên địa chỉ IP công cộng. https://community.letsencrypt.org/t/certert-for-public-ip-without-domain-name/6082

Để biết thẩm quyền Chứng chỉ của bạn, bạn có thể thực hiện lệnh sau và tìm kiếm một mục được đánh dấu bên dưới.

curl -v -u <username>:<password> "https://IPaddress/.."

nhập mô tả hình ảnh ở đây

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.